Databehandleravtale

Tjenesteavtale

Mellom Partene

Leverandør Kunde
Navn Abacus IT AS  
Org. Nr: 987 493 348 MVA
Telefon nr: 4000 1850
Adresse Brevikbråteveien 9

1555 Son

Avdelinger: Oslo, Bergen, Trondheim, Drammen, Stord, Sandnes, Tønsberg, Verdal

Merkantil kontaktperson    
Teknisk/Prosjekt Kontaktperson    
Faktura e-post Skriftlig til faktura@abacus-it.no
Support tlf/e-post 40001850 / support@abacus-it.no

Avtalen er inngått dato:

 

Avtalen faktureres fra dato:

 

Avtalens Hovedperiode: 01.01.19 – 31.12.19

Partene har inngått de(n) nedenfor nevnte tjenesteavtale(er) i den ovenfor angitte hovedperiode:

__ Visma Basic __ Visma Standard __ Visma Anbefalt (Std. utv.)
__ Visma Extended __ Visma «All Inclusive» __ Visma Byrå Support og service
__ Konsulenttjenester __ __
__ Abacus Bekreftelse __ Abacus Prosjekt __ Utviklingstjenester
__ Abacus Fix IT __ Abacus IT Nett __ Åpen Bok
__ Teknisk Klientdrift __ Teknisk Serverdrift __ Teknisk Backup
__ Abacus Nettsky __ Abacus Programvare __ Faste oppdrag

I tillegg til inkluderte tjenestebeskrivelser, mengde og priser angitt på de etterfølgende sider gjelder de relevante betingelsene og tjenestebeskrivelsene som finnes på våre web sider www.abacus-it.no/betingelser Generelle betingelser og tjenestebeskrivelser endres løpende i takt med utviklingen og endringene er normalt presiseringer eller forbedringer i alles interesse. Siste versjon (som alltid er tilgjengelig på web sidene) gjelder.

Betingelsene er akseptert ved passivitet/konkludent adferd uavhengig av signatur når man bestiller tjenesten(e). (Aksepten gjentas ved betaling av tilsendte faktura på de underliggende tjenestene.

  1. Databehandleravtale

Databehandleravtale iht. personopplysningsloven og personvernforordningen

Veileder finnes på www.datatilsynet.no

NB: Denne brukes normalt IKKE da generelle betingelser punkt 0.8 sammen med Tjenesteavtalene for de respektive tjenestene og kapitel 17 «Tjenestevilkår – Personopplysninger – Databehandleravtale»

normalt er en tilstrekkelig Databehandleravtale.

1.1.      Partene

Avtalen er inngått mellom Kunden som Behandlingsansvarlig og Abacus IT AS som Databehandler

1.2.      Hensikt

Avtalens hensikt er å sikre at personopplysninger blir behandlet i samsvar med regelverket og sette en klar ramme for hvordan databehandler kan behandle opplysningene. Avtalen regulerer databehandlers bruk av personopplysninger på vegne av den behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse.

1.3.      Formål

Lagring, teknisk prosessering og tilgjengeliggjøring av data for behandlingsansvarlig. Ytterligere informasjon om den konkrete behandlingen fremgår av relevante Tjenestevilkår

1.4.      Databehandlers plikter

Databehandler skal følge de rutiner og instrukser for behandlingen som behandlingsansvarlig til enhver tid har bestemt.

Databehandler plikter å gi behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon, og bistå, slik at behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift.

Behandlingsansvarlig har, med mindre annet er avtale eller følger av lov, rett til tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes til dette formål. Databehandler plikter å gi nødvendig bistand til dette. Behandlingsansvarlig bærer kostnadene ved slik bistand. Databehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen. Denne bestemmelsen gjelder også etter avtalens opphør.

1.5.      Bruk av underleverandører

Databehandler benytter underleverandører på deler av den tekniske infrastrukturen. Disse er automatisk underlagt denne avtale. Samtlige som på vegne av databehandler utfører oppdrag der bruk av de aktuelle personopplysningene inngår, skal være kjent med databehandlers avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse.

1.6.      Sikkerhet

Databehandler skal oppfylle de krav til sikkerhetstiltak både tekniske og organisatoriske, som er nødvendig for et tilstrekkelig nivå av sikkerhet tilpasset den risikoen som behandlingen representerer. Databehandler skal sikre at det utelukkende er autorisert personell som har adgang til opplysningene. Avviksmelding skal skje ved at databehandler melder avviket til behandlingsansvarlig. Behandlingsansvarlig har ansvaret for at avviksmelding sendes Datatilsynet.

1.7.      Varighet

Avtalen gjelder så lenge databehandler behandler personopplysninger på vegne av behandlingsansvarlig.

Behandlingsansvarlig kan pålegge databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning. Avtalen kan sies opp av begge parter med en gjensidig frist på 1 måned, jf. Neste punkt i denne avtalen.

1.8.      Ved opphør

Ved opphør av denne avtalen plikter databehandler å tilbakelevere alle personopplysninger som er mottatt på vegne av den behandlingsansvarlige og som omfattes av denne avtalen.

Det skal avtales at databehandler skal slette eller forsvarlig destruere alle dokumenter, data, mv, som inneholder opplysninger som omfattes av avtalen. Dette gjelder også for eventuelle sikkerhetskopier.

Avtalen om opphør bør spesifisere på hvilken måte sletting og/eller destruksjon skal skje etter avtalens opphør.

Databehandler skal skriftlig dokumentere at sletting og eller destruksjon er foretatt i henhold til avtalen innen rimelig tid etter avtalens opphør.

1.9.      Endringer, fakturering og terminering

Avtalerevisjoner, faktureringsrutiner, endringsrutiner, terminering og øvrige betingelser finnes her www.abacus-it.no/betingelser Prisene følger av vedlegget og mengden justeres automatisk i tråd med faktisk forbruk/behov. Selve Databehandleravtalen har ingen kostnad. Avtalen fornyes automatisk for 3 og 3 måneder 1 måned før kvartalsstart.

  1. Generelle Bestemmelser

2.1.       Avtalens formål

Avtalens formål er å sikre kunden bistand til sine IT løsninger slik at kostnadseffektiv drift og optimal leveransekvalitet sikres ved å regulere Leverandørens leveranser til Kunden.

2.2.       Leveransens omfang

Avtalen omfatter tjenester som beskrevet i Avtalen og Leverandørens tjenestebeskrivelser på www.abacus-it.no/betingelser

2.3.       Kontaktinformasjon

For spørsmål som vedrører avtalemessige eller merkantile forhold skal Kundens bruke sin kontaktperson.

Bestilling av oppdrag skal sendes pr e-post til Leverandørens supportsystem eller avklares med Kundens kontaktperson

2.4.       Kundens plikter og ansvar

Opplysningsplikt

Kunden plikter uoppfordret å gi Leverandør alle opplysninger som kan ha relevans for oppgaver som skal utføres og systemets drift og tilstand forøvrig.

2.5.       Merkantile bestemmelser

Prisendring

  • Prisene indeksreguleres årlig med bakgrunn i KPI. Prisene på konsulenttimer indeksreguleres årlig med bakgrunn i KPI kategori 6.1
  • Etter utløp av Avtalens Hovedperiode kan Leverandøren endre alle prisene i avtalen med samme varslingstid som gjelder for oppsigelse.
  • Ved prisøkning på mer enn 25% innenfor avtaleperioden på enkeltelementer i Leverandørens direkte kostnader (som f.eks. brukerlisenser), kan Leverandøren kreve prisjustering for å kompensere for ekstrakostnadene.
  • Prisene slik de er angitt i siste versjon av Avtalen(e) på abacus-it.no/betingelser gjelder

Reise, opphold, diett og andre utlegg

Utgifter ved kjøring med bil inklusive Km, parkering og bompenger er inkludert i ”Medgått Tid” i de tilfeller Kunden belastes for Medgått Tid.

Utlegg

Andre reiseutgifter og utlegg på vegne av Kunden belastes Kunden i henhold til regning eller Statens satser med tillegg av 10 % administrasjonsgebyr. Kunden kan velge å dekke slike utgifter selv ved å stå for nødvendige forskutteringer.

Offentlige avgifter

Priser angitt er eksklusive skatter og offentlige avgifter

Fakturering

Tjenester faktureres i henhold til prisene angitt i avtalens Bilag eller i den aktuelle Tjenestebeskrivelsen

Avtale tjenester faktureres forskuddsvis for en periode på 3 måneder med forfall ved periodestart.

Tjenester faktureres fra og med bestillingstidspunktet til og med oppsigelsestiden.

Elektroniske tjeneste belastes 1 månedsleie i etablering om ikke annet er avtalt.

Forbruksbaserte tjenester faktureres etter forbruk med 14d kredittid eller som angitt i Avtalens Bilag.

Vareleveranser faktureres med 14d kredittid fra distributørens fakturadato eller leveringstidspunkt.

Morarenter og gebyrer

Ved forsinket betaling betales forsinkelsesrenter iht lov om renter ved forsinket betaling og gebyrer iht inkassoloven.

Mislighold av betaling

Hvis kunde misligholder betaling av fordringer fra Leverandør opphører Leverandør’ ansvar i henhold til denne avtale med øyeblikkelig virkning og inntil misligholdet er brakt til opphør. Betalingsforsinkelse på mer enn 14 dager anses alltid som mislighold.

Kundens ansvar i forhold til Avtalen løper uavhengig av om Leverandøren har redusert sitt tjenestenivå som følge av misligholdet.

2.6.       Definisjoner

Normal Arbeidstid

Normal Arbeidstid er alle virkedager, 08:00 til 16:00.

Medgått tid

Medgått Tid er summen av reisetid og tid som benyttes på utførelse av oppgaver for Kunden.

Reisetid

Faktisk reisetid fra Leverandørens representant forlater sitt normale arbeidssted og til avtalt oppmøtested og tilsvarende tid som brukes for å returnere til sitt normale arbeidssted. For oppdrag som medfører overnatting gjelder også som reisetid tid brukt mellom oppdragsstedet og overnattingsstedet.

Konsulenttjenester

Med konsulenttjenester menes her all tjenesteyting som utføres av Leverandøren ansatte for Kunden og som ikke er regulert som egen avtale mellom partene.

Telefonsupport

Med telefonsupport menes bistand på telefon av Leverandørens supportsenter i tråd med betingelser spesifisert i egen tjenestebeskrivelse

Informasjon

Med informasjon menes alle typer data.

 

Prioriterte konsulentoppgaver

Med Prioriterte konsulentoppdrag menes feil som oppstår på Kundens egne systemer som kan ha vesentlige konsekvenser for Kundens daglige drift.

Ordinære konsulentoppgaver

Konsulentoppgaver uten vesentlige konsekvenser for Kundens daglige drift regnes som uprioriterte ordinære konsulentoppgaver.

2.7.       Taushetsplikt

All informasjon som partene blir kjent med i forbindelse med gjennomføringen av avtalen skal behandles konfidensielt og ikke gjøres tilgjengelig for utenforstående uten skriftlig samtykke fra den annen part.

Dette gjelder også etter at avtalen er opphørt. Ansatte eller andre som fratrer sin tjeneste hos en av partene skal pålegges taushet også etter fratredelsen om forhold som nevnt ovenfor.

2.8.       Behandling av personopplysninger – Databehandleravtale

Abacus behandler personopplysninger i tråd med gjeldende regelverk. Se også Personvernerklæringen som gjelder for individer. Abacus er behandlingsansvarlig i de tilfellene hvor Abacus behandler personopplysninger om Kunden og Kundens Brukere, hvor Abacus bestemmer formålet, metoder og ressurser, som skal benyttes. For de tilfellene hvor Abacus behandler personopplysninger på vegne av Kunden, hvor Kunden bestemmer formål og metoder er Abacus databehandler og Kunden behandlingsansvarlig. Dette avsnittet sammen med relevant formål i den enkelte Tjenestebeskrivelse er en komplett Databehandleravtale. Databehandleravtalen trenger ingen særskilt signatur, men følger av gjeldene regelverk, våre generelle betingelser (disse) og relevante Tjenesteavtaler/beskrivelser/betingelser. Når Abacus er Databehandler er det Kunden som er Behandlingsansvarlig og dermed Kunden som har ansvar for å sikre lovlig formål og grunnlag (hjemmel) for behandlingen.

2.8.1.     Formålet med databehandlingen

Lagring, teknisk prosessering og tilgjengeliggjøring av data for behandlingsansvarlig. Ytterligere informasjon om den konkrete behandlingen fremgår av relevante Tjenestevilkår

2.8.2.     Databehandlers plikter

Databehandler skal følge de rutiner og instrukser for behandlingen som behandlingsansvarlig til enhver tid har bestemt.

Databehandler plikter å gi behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon, og bistå, slik at behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift. Behandlingsansvarlig har, med mindre annet er avtale eller følger av lov, rett til tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes til dette formål. Databehandler plikter å gi nødvendig bistand til dette. Behandlingsansvarlig bærer kostnadene ved slik bistand. Databehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen. Denne bestemmelsen gjelder også etter avtalens opphør.

2.8.3.     Bruk av underleverandører

Databehandler benytter underleverandører på deler av den tekniske infrastrukturen. Disse er automatisk underlagt denne avtale. Samtlige som på vegne av databehandler utfører oppdrag der bruk av de aktuelle personopplysningene inngår, skal være kjent med databehandlers avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse.

2.8.4.     Sikkerhet

Databehandler skal oppfylle de krav til sikkerhetstiltak både tekniske og organisatoriske, som er nødvendig for et tilstrekkelig nivå av sikkerhet tilpasset den risikoen som behandlingen representerer. Databehandler skal sikre at det utelukkende er autorisert personell som har adgang til opplysningene. Avviksmelding skal skje ved at databehandler melder avviket til behandlingsansvarlig. Behandlingsansvarlig har ansvaret for at avviksmelding sendes Datatilsynet.

2.8.5.     Varighet

Avtalen gjelder så lenge databehandler behandler personopplysninger på vegne av behandlingsansvarlig.

Behandlingsansvarlig kan pålegge databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning. Avtalen kan sies opp av begge parter med en gjensidig frist på 1 måned, jf. Neste punkt i denne avtalen.

2.8.6.     Ved opphør

Ved opphør av denne avtalen plikter databehandler å tilbakelevere alle personopplysninger som er mottatt på vegne av den behandlingsansvarlige og som omfattes av denne avtalen. Det skal ved opphør avtales at databehandler skal slette eller forsvarlig destruere alle dokumenter, data, mv, som inneholder opplysninger som omfattes av avtalen. Dette gjelder også for eventuelle sikkerhetskopier.

Avtalen om opphør bør spesifisere på hvilken måte sletting og/eller destruksjon skal skje etter avtalens opphør.

Databehandler skal skriftlig dokumentere at sletting og eller destruksjon er foretatt i henhold til avtalen innen rimelig tid etter avtalens opphør.

2.9.       Force Majeure m.v.

Dersom avtalens gjennomføring helt eller delvis hindres, eller i vesentlig grad vanskeliggjøres av forhold som ligger utenfor partenes kontroll, suspenderes partenes plikter i den utstrekning forholdet er relevant, og for så lang tid som forholdet varer.

2.10.    Reklamasjon ved mislighold

Reklamasjon

Den som vil påberope seg at avtalen er misligholdt, må omgående og uten unødig opphold reklamere skriftlig etter at vedkommende fikk kjennskap til mislig­holdet. Reklamasjon må senest skje innen 30 dager etter at forholdet ble kjent for parten.

Utbedring og prisavslag

Dersom kunden i avtaleperioden skriftlig reklamerer i samsvar med forrige punkt og det faktisk foreligger et saklig mislighold, skal Leverandør foreta nødvendige utbedringer for at avtalens ytelser og krav skal bli oppfylt.

Dersom Leverandør etter gjentatte forsøk ikke lykkes med utbe­dringer, kan kunden i stedet for utbedring kreve forholdsmessig prisavslag.

Eventuelle påløpte standardiserte sanksjoner og forsinkelses­renter skal komme til fradrag ved beregning av prisavslag.

Heving

Hver av partene har rett til å heve avtalen med 14 dagers varsel ved vesentlig mislighold fra den annen part. Dersom den misligholdende part har utbedret forholdet som utløste hevingsretten innen fristen på 14 dager er gått ut bortfaller retten til heving.

En part kan heve avtalen dersom den annen part innstiller sine betalinger, innleder gjeldsforhandlinger eller det åpnes konkurs.

Erstatning

Ved mislighold kan den part som rammes kreve erstatning for doku­mentert økonomisk tap etter alminnelige prinsipper for erstatninger i avtaleforhold med følgende begrensninger:

Indirekte tap og tap av data dekkes ikke. Som indirekte tap regnes, blant annet, kundens tap av fortjeneste av enhver art, tap grunnet driftsavbrudd, avsavnstap og krav fra tredjepart.

Leverandørens erstatningsplikt er uansett begrenset det samlede vederlag under avtalen i en 3 måneders periode.

Ansvarsbegrensningene gjelder ikke dersom vedkommende part har utvist grov uaktsomhet eller forsett.

2.11.    Varighet og opphør

Avtalens Hovedperiode er angitt på Avtalens forside. Oppsigelse skal skje skriftlig, med 3 måneders varsel regnet fra utløpet av inneværende kalendermåned, med mindre Tjenestebeskrivelsen har en kortere oppsigelsestid.

Etter utløp av Hovedperioden løper Avtalen videre med gjensidig rett for partene til å si opp med 3 måneders varsel.

Kunden kan tre ut av avtalen i kontraktsperioden med 3 måneders varsel ved å løse inn 50% av kontraktsverdi for de resterende månedene av avtalt kontraktsperiode.

2.12.    Tvister

Uenighet om virkning, innhold eller gjennomføring av avtalen skal forsøkes løst ved forhandlinger innen 1 måned etter at en av partene har meddelt den andre part om at en konflikt har oppstått.

Fører ikke forhandlingene frem, kan hver av partene kreve saken avgjort ved de alminnelige domstoler. Dersom partene er enige om det, kan saken avgjøres ved voldgift etter reglene i Voldgiftsloven. Voldgiften avgjør tvisten med endelig og bindende virkning for begge parter.

I tilfellet søksmål, er verneting i den kommunen Leverandøren har sin faste forretningsadresse bestemt for partene i kontrakten og garantistene, og varsel skal gis som for innenbysboende.

2.13.    Uoverensstemmelser i Avtalen

Ved uoverensstemmelse mellom innholdet i avtaleteksten og Avtalens Bilag er det bestemmelsene i Avtalens Bilag som gjelder.

2.14.    Versjoner av Avtalen

Det er alltid siste versjon av avtalen som gjelder. Den finnes tilgjengelig på leverandørens nettsider www.abacus-it.no/betingelser og utleveres på forespørsel. Enhver betaling av tilsendt faktura er aksept av siste versjon.

  1. Tjenestevilkår – Personopplysninger – Databehandleravtale

3.1.       Generelt om Tjenester og Personopplysninger

Abacus sin leveranse av ulike tjenester innebærer behandling av personopplysninger på vegne av kunde. For disse tjenestene er da Abacus Databehandler og Kunden Behandlingsansvarlig etter personopplysningsloven og forordningen. Når Abacus er databehandler på vegne av Kunden er dette regulert av særskilte vilkår angitt i kapittel 0.8 under Generelle betingelser i vår Tjenesteavtale. For de tjenester og prosesser hvor Kunden helt eller delvis er Behandlingsansvarlig er det Kunden som har ansvar for å sikre lovlig formål, rettslig grunnlag (hjemmel), informasjonsplikten og øvrig oppfølging. Nedenfor følger oversikt over opplysninger som er relevante for Partenes oppfølging av databehandlervilkårene.

3.2.       Visma Supportavtale(r)

Formål Sikre rask og effektiv support på Kundens Visma tjenester
Personopplysninger som behandles Brukernavn, passord, kontaktinformasjon, utstyr, innstillinger og versjoner
Behandlingen av personopplysningene Personopplysningene lagres i support og administrativt system.
Sletting av personopplysningene På forespørsel fra Kunden.
Bruk av underleverandører Technet, Visma og SuperOffice

3.3.       Konsulent, Prosjekt, Utviklingstjenester og Fast oppdrag

Formål Sikre rask og effektiv support på Kundens vegne
Personopplysninger som behandles Brukernavn, passord, kontaktinformasjon, utstyr, innstillinger og versjoner
Behandlingen av personopplysningene Personopplysningene lagres i support og administrativt system.
Sletting av personopplysningene På forespørsel fra Kunden.
Bruk av underleverandører Technet, Visma og SuperOffice

3.4.       Abacus Fix IT

Formål Sikre rask og effektiv patching, sikkerhetskontroll, viruskontroll og support på Kundens utstyr
Personopplysninger som behandles Brukernavn, passord, kontaktinformasjon, utstyr, innstillinger og versjoner
Behandlingen av personopplysningene Personopplysningene lagres i support og administrativt system. Samt i IBM sitt Big Fix panel
Sletting av personopplysningene På forespørsel fra Kunden.
Bruk av underleverandører IBM, CarbonBlack, Technet, Visma og SuperOffice
Hvor data lagres Primært på Kundens utstyr og i Abacus sine datasentre i Norge

3.5.       Abacus IT-Nett

Formål Sikre rask og effektiv patching, sikkerhetskontroll og support på Kundens nettverksutstyr. Beskytte kunden mot uautorisert tilgang fra Internett.
Personopplysninger som behandles Brukernavn, passord, kontaktinformasjon, utstyr, innstillinger og versjoner
Behandlingen av personopplysningene Personopplysningene lagres i support og administrativt system. Samt i Cisco Meraki sitt Globale overvåkningssystem.
Sletting av personopplysningene På forespørsel fra Kunden.
Bruk av underleverandører Cisco, Technet, Visma og SuperOffice
Hvor data lagres Primært på utplassert Nettverksutstyr

3.6.       Abacus Teknisk Klientdrift, Serverdrift og Backup

Formål Sikre rask og effektiv drift, patching, sikkerhetskontroll og support på Kundens utstyr. Beskytte kunden mot uautorisert tilgang fra Internett. Sikre backup
Personopplysninger som behandles Brukernavn, passord, kontaktinformasjon, utstyr, innstillinger og versjoner, samt alle personopplysninger Kunden oppbevarer
Behandlingen av personopplysningene Personopplysningene lagres i support og administrativt system. I IBM og Cisco Meraki sitt Globale overvåkningssystem. I Abacus sine datasentre i Norge og på Kunde utstyr
Sletting av personopplysningene På forespørsel fra Kunden.
Bruk av underleverandører IBM, Cisco, Technet, Visma og SuperOffice
Hvor data lagres Primært hos Kunden og i Abacus sine datasentre i Norge

3.7.       Abacus Nettsky

Formål Sikre rask og effektiv drift, patching, sikkerhetskontroll og support på Kundens tjeneste. Beskytte mot uautorisert tilgang fra Internett.
Personopplysninger som behandles Brukernavn, passord, kontaktinformasjon, utstyr, innstillinger og versjoner, samt alle personopplysninger som Kunden oppbevarer
Behandlingen av personopplysningene Personopplysningene lagres i support og administrativt system. I IBM og Cisco Meraki sitt Globale overvåkningssystem. I Abacus sine datasentre i Norge og på Utstyret som driftes hos Kunden der det måte stå.
Sletting av personopplysningene På forespørsel fra Kunden.
Bruk av underleverandører Microsoft, Cisco, IBM, Technet, Visma og SuperOffice
Hvor data lagers Primært i Abacus sine datasentre i Norge eller MS Azure sine Datasentre i Europa

Her kan du laste ned Databehandleravtalen i pdf.